Leiðréttingarútgáfur af Log4j bókasafninu 2.17.1, 2.3.2-rc1 og 2.12.4-rc1 hafa verið birtar, sem laga annan varnarleysi (CVE-2021-44832). Nefnt er að vandamálið leyfir fjarrekstrarkóða (RCE), en er merkt sem góðkynja (CVSS Score 6.6) og er aðallega af fræðilegum áhuga, þar sem það krefst sérstakra skilyrða fyrir hagnýtingu - árásarmaðurinn verður að geta gert breytingar á stillingaskráin Log4j, þ.e. verður að hafa aðgang að kerfinu sem ráðist er á og heimild til að breyta gildi log4j2.configurationFile stillingarfæribreytunnar eða gera breytingar á núverandi skrám með skráningarstillingum.
Árásin snýst um að skilgreina JDBC viðauka-undirstaða stillingar á staðbundnu kerfi sem vísar til ytri JNDI URI, ef óskað er eftir því sem hægt er að skila Java flokki til framkvæmdar. Sjálfgefið er að JDBC Appender er ekki stillt til að meðhöndla samskiptareglur sem ekki eru Java, þ.e. Án þess að breyta stillingunum er árásin ómöguleg. Að auki hefur málið aðeins áhrif á log4j-kjarna JAR og hefur ekki áhrif á forrit sem nota log4j-api JAR án log4j-kjarna. ...
Heimild: opennet.ru